Informazioni sulle interfacce di rete virtuali
Una VNI (virtual network interface) è un'astrazione logica di un'interfaccia di rete in una sottorete. Può essere collegato a una risorsa di destinazione, fornendo a tale risorsa la connettività di rete. Come risorsa di livello superiore con un
CRN, il ciclo di vita di un VNI è indipendente dalla risorsa di destinazione a cui è collegato (a meno che auto_delete
sia impostato su true
). Inoltre, ha una propria serie di autorizzazioni IAM.
Un VNI ha le seguenti proprietà che definiscono le politiche di rete:
- IP primario e IP secondario
- Gruppi di sicurezza
- Spoofing IP
- NAT infrastruttura
- Filtro stato protocollo
Queste politiche sono preservate quando la VNI è scollegata da una destinazione e collegata a una destinazione differente. Le autorizzazioni per modificare le proprietà sono impostate sul VNI e non sulla destinazione del VNI.
I raccoglitori di log di flusso e IP mobili sono risorse che è possibile collegare a un VNI. Queste risorse collegate rimangono collegate alla VNI quando la VNI commuta il collegamento da una destinazione all'altra. Inoltre:
- I riferimenti agli IP mobili collegati a una VNI sono richiamabili come raccolta secondaria della VNI.
- Un raccoglitore di log di flusso collegato a una VNI può essere richiamato elencando i raccoglitori di log di flusso, filtrando per
target.id
e specificando ilid
della VNI.
Non tutte le risorse di destinazione supportate supportano tutte le politiche VNI. Per ulteriori informazioni, vedi Limitazioni note.
Vantaggi e funzionalità chiave
I punti salienti dell'interfaccia di rete virtuale includono:
- La capacità di assegnare più indirizzi IP IPv4 privati secondari da una sottorete VPC.
- L'opzione per definire e applicare i gruppi di sicurezza e le politiche IAM univoche per darti un maggiore controllo sulla sicurezza della rete.
- Scalabilità e flessibilità per soluzioni ad alta disponibilità.
- Esistenza senza essere collegati a un server e possibilità di passare da un'istanza o una risorsa a un'altra, riducendo il tempo di failover.
- La capacità di collegare IP mobili, IP riservati primari / secondari e gruppi di sicurezza.
Considerazioni sulla pianificazione
Esaminare le seguenti considerazioni prima di creare una VNI:
-
La creazione di risorse con interfacce di rete secondarie continuerà ad essere supportata, ma le nuove funzionalità di rete, come gli indirizzi IP secondari, sono supportate solo sulle interfacce di rete virtuali.
-
Tutti gli indirizzi IP su un'interfaccia di rete virtuale devono trovarsi nella stessa sottorete.
-
Anche se un'istanza o un server bare metal non consentono una combinazione di tipi di interfaccia, una sottorete consente una combinazione di istanze e server bare metal, alcuni con interfacce di rete secondarie e altri con interfacce di rete virtuali.
-
È necessario configurare l'indirizzo IP primario quando si crea un'interfaccia di rete virtuale. È possibile configurare ulteriori indirizzi IP riservati (secondari) quando si crea l'interfaccia di rete virtuale oppure è possibile aggiungere in un secondo momento gli indirizzi IP secondari singolarmente. Tutti gli indirizzi IP secondari devono essere nella stessa subnet dell'indirizzo IP primario.
-
L'infrastruttura NAT converte l'indirizzo di destinazione dall'indirizzo IP pubblico assegnato tramite l'IP mobile all'indirizzo IP privato dell'istanza del server virtuale. È possibile configurare un indirizzo IP mobile su un'interfaccia di rete virtuale con NAT dell'infrastruttura abilitato. Un'interfaccia di rete virtuale configurata in questo modo può essere utilizzata da un'istanza o da un server bare metal.
-
Per un'interfaccia di rete virtuale che consente lo spoofing IP e ha l'infrastruttura NAT disabilitata, è possibile configurare più indirizzi IP mobili. Un'interfaccia di rete virtuale configurata in questo modo può essere utilizzata solo da un server bare metal.
-
Se la proprietà
auto-delete
di un'interfaccia di rete virtuale è impostata sufalse
, se si elimina l'istanza del server virtuale, l'interfaccia di rete virtuale rimarrà. L'interfaccia di rete virtuale può quindi essere collegata a una risorsa di destinazione differente. -
Dopo che una VNI si scollega da una destinazione, è possibile ricollegarla a uno dei seguenti:
- Una nuova destinazione di montaggio della condivisione (se ip - spoofing è disabilitato, non ci sono IP secondari, il NAT dell'infrastruttura è impostato su
true
e il filtro dello stato del protocollo non è disabilitato) - Un nuovo collegamento di rete su un'istanza (se il NAT dell'infrastruttura è impostato su
true
) - Un nuovo collegamento di rete su un server bare metal (quando è supportato bare metal)
- Una nuova destinazione di montaggio della condivisione (se ip - spoofing è disabilitato, non ci sono IP secondari, il NAT dell'infrastruttura è impostato su
Modalità filtro dello stato del protocollo
Il filtro dello stato del protocollo monitora ogni connessione di rete che passa su una VNI (virtual network interface) e rilascia tutti i pacchetti non validi in base allo stato di connessione e al protocollo correnti. Se si utilizzano instradamenti ECMP bidirezionali, ad esempio gli instradamenti configurati per le configurazioni HA attive / attive su VNFs (Virtual Network Functions) duali, è possibile disabilitare il filtro per evitare la perdita di pacchetti. La disabilitazione del filtro consente i pacchetti consentiti dalle regole del gruppo di sicurezza e dagli ACL di rete, ma non forza ogni connessione TCP ad allinearsi con il protocollo TCP RFC 793.
È possibile scegliere una modalità di filtraggio dello stato del protocollo (auto
, enable
, disable
) durante la creazione o l'aggiornamento di una VNI. Il valore predefinito (auto
) abilita o disabilita il filtro in base al proprio tipo di risorsa di destinazione VNI. Se il tipo di destinazione è un server bare metal, il filtro è disabilitato; per un'istanza del
server virtuale o un montaggio di condivisione file, il filtro è abilitato.
La modalità di filtro dello stato del protocollo è disponibile solo su una VNI. Sulle interfacce di rete vecchio stile, la modalità è invisibile e il comportamento è sempre impostato su auto
.
Introduzione alle interfacce di rete virtuali
È possibile utilizzare una VNI per gestire gli indirizzi IP e i gruppi di protezione in una risorsa separata con un ciclo di vita indipendente dalla risorsa di destinazione.
-
Assicurati di avere un VPC e una sottorete collegati. Per ulteriori informazioni, vedi la creazione delle risorse VPC utilizzando la IBM Cloud o la creazione con CLI e API.
-
Esamina le considerazioni di pianificazione e qualsiasi problema e limitazione noti.
-
Assicurati di disporre delle autorizzazioni IAM corrette per creare una VNI.
-
Crea una interfaccia di rete virtuale con un indirizzo IP privato, un indirizzo IP pubblico e gruppi di protezione.
-
Collega la tua VNI a una risorsa di destinazione supportata durante il provisioning della destinazione. Attualmente, esistono tre tipi di destinazione supportati:
- Istanza server virtuale
- Quando si esegue il provisioning di un'istanza, collegare la VNI alla risorsa secondaria del collegamento di rete principale. Consulta Creazione di istanze del server virtuale.
- Se hai un'istanza del server virtuale esistente con un collegamento di rete primario, puoi eseguire il provisioning di un ulteriore collegamento di rete sull'istanza del server virtuale, collegando la VNI al nuovo collegamento di rete. Consultare Creazione di collegamenti di rete.
- Server bare metal
- Quando si esegue il provisioning di un server bare metal, collegare la VNI alla risorsa secondaria del collegamento di rete principale. Vedi Creating Bare Metal Servers on VPC.
- Se hai un server bare metal esistente con un collegamento di rete primario, puoi eseguire il provisioning di un collegamento di rete aggiuntivo sul server bare metal, collegando la VNI al nuovo collegamento di rete. Consultare Creazione di collegamenti di rete.
- Montaggio condivisione file
- Quando si esegue il provisioning di un nuovo montaggio di condivisione file, collegare la VNI alla destinazione di montaggio di condivisione file. Consultare Creazione di condivisioni file e destinazioni di montaggio e Destinazioni di montaggio per le condivisioni file.
- Istanza server virtuale
È anche possibile creare una VNI nel contesto del provisioning di ciascuna di queste destinazioni. In altre parole, non è necessario creare un VNI in anticipo. Successivamente, puoi eliminare l'istanza e conservare la VNI assicurandoti che --auto-delete
sia false
(switch Rilascio automatico ). È quindi possibile creare una nuova istanza utilizzando la stessa VNI.
Caso d'uso 1: Alta disponibilità con interfacce di rete virtuali
Le interfacce di rete virtuali riducono il tempo richiesto per passare a un'istanza di failover. In un'istanza del server virtuale che non utilizza le interfacce di rete virtuali, un failover richiede modifiche di instradamento che possono richiedere diversi minuti per la propagazione. Nel seguente esempio, hai un'istanza del server virtuale primaria configurata con un'interfaccia di rete e un'istanza del server virtuale di backup che ha la sua interfaccia di rete. Se l'istanza del server virtuale primario ha esito negativo, devi portare l'istanza del server virtuale di backup in linea e riconfigurare le tue rotte per utilizzare l'interfaccia di rete dell'istanza di backup.
 |
id |
network_attachment.id |
name |
network_attachment.name |
port_speed |
network_attachment.port_speed |
primary_ip |
virtual_network_interface.primary_ip |
resource_type |
"interfaccia_rete" |
security_groups |
virtual_network_interface.security_groups |
status |
Vedere la tabella "Valori di stato dell'interfaccia di rete dell'istanza" |
subnet |
virtual_network_interface.subnet |
type |
network_attachment.type |
Il valore status
viene determinato in base alla tabella seguente:
Collegamento di rete lifecycle_state |
VNI lifecycle_state |
status |
---|---|---|
deleting |
qualsiasi | deleting |
qualsiasi | deleting |
deleting |
failed |
qualsiasi tranne deleting |
failed |
qualsiasi tranne deleting |
failed |
failed |
pending , suspended , updating , waiting |
qualsiasi tranne deleting o failed |
pending |
qualsiasi tranne deleting o failed |
pending , suspended , updating , waiting |
pending |
stable |
stable |
available |
- Le stesse proprietà sono derivate quando si richiama un' interfaccia di rete del server bare metal, in aggiunta alle seguenti proprietà specifiche delle interfacce di rete del server bare metal:
proprietà Interfaccia di rete | Associato da |
---|---|
enable_infrastructure_nat |
virtual_network_interface.enable_infrastructure_nat |
mac_address |
virtual_network_interface.mac_address |
interface_type |
network_attachment.interface_type |
allowed_vlans |
network_attachment.allowed_vlans |
vlan |
network_attachment.vlan |
allow_interface_to_float |
network_attachment.allow_interface_to_float |